当LiteLLM披露其被攻击的消息时,措辞很明确:影响已控制,系统已修复。三周后,AI招聘初创公司Mercor确认,通过直接关联同一漏洞的网络攻击,4.5万名用户的数据遭到窃取。这个矛盾——一个"已控制"的漏洞如何波及下游——揭示了AI行业一直不愿承认的事实:开源AI基础设施是一个供应链风险,而标准安全实践从未为此设计。
2025年曾融资1亿美元、估值20亿美元的Mercor,于3月31日确认了这起数据泄露事件。一个黑客组织声称对此次盗窃负责,并在犯罪论坛上开始出售这些数据。该公司表示,攻击路径可追溯至LiteLLM的泄露——这是一个被数百家AI公司用于在多个语言模型间路由请求的开源工具。Mercor未回应关于具体被盗数据类型的置评请求。
攻击原理如下:LiteLLM作为中间件,运行在组织AI应用与OpenAI、Anthropic等模型之间。当LiteLLM被攻破时,攻击者获得了查询这些连接的能力,并可能截获传输中的数据。对Mercor而言,这意味着漏洞为黑客提供了入侵通道,可以访问包含用户数据的系统,包括求职者提交的求职申请、消息和身份证明文件。
这并非复杂的零日漏洞利用。LiteLLM的漏洞是已知弱点,项目维护者已发布补丁修复。真正使其具有破坏性的是,大量公司在未能完全理解访问权限含义的情况下,将LiteLLM集成到基础设施中。LiteLLM的文档非常宽松:该工具路由API调用、记录提示词、存储配置文件。在错误的人手中,这些功能成为企业间谍活动或数据盗窃的侦察工具。
追踪该事件的安全研究人员指出了一种模式:LiteLLM的普及之所以爆发,是因为它解决了一个真实问题——无需构建自定义集成即可管理多个AI模型。这种普遍性使其成为单点故障。一个项目的弱点成为成千上万家公司面临的风险。
更深层的问题是,开源开发模式能否支撑AI基础设施。像LiteLLM这样的项目由小型团队维护,通常是志愿者,安全审计资源有限。企业采用这些工具的前提是透明性意味着安全性——这是一个危险且已被Mercor泄露事件暴露的跨越。商业供应商被攻击时,客户有合同和责任约束。当开源项目被攻击时,下游用户发现他们将最敏感的数据托付给了一个陌生人的代码。
接下来会发生什么尚不清楚。LiteLLM的维护者已发布补丁,正在与安全公司合作审计代码库。Mercor正在与联邦执法机构合作调查。但这起事件暴露了一个结构性问题:每个集成过LiteLLM的公司现在都面临Mercor已经回答过的问题——你如何控制一个通过你自己基础设施传入的漏洞?到目前为止,答案是:没有人知道。